Política de privacidad

ATENCIÓN: este documento contiene marcadores [PENDIENTE: …] que el titular debe completar antes de operar comercialmente. Documento orientativo pendiente de revisión por abogado colegiado.

Esta política describe cómo Stelvia trata los datos personales que recoge a través del sitio stelvia.space, conforme al Reglamento (UE) 2016/679 (RGPD) y a la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).

1. Responsable del tratamiento

Responsable: [PENDIENTE: nombre completo o razón social, idéntico al del aviso legal]. NIF/CIF: [PENDIENTE]. Domicilio: [PENDIENTE]. Correo de contacto y ejercicio de derechos: [PENDIENTE: email del responsable, p. ej. privacidad@stelvia.space]. Delegado de Protección de Datos (DPO): no se ha designado. Stelvia no es entidad pública, no realiza tratamientos a gran escala de categorías especiales de datos, ni su actividad principal consiste en operaciones que requieran observación habitual y sistemática a gran escala (art. 37 RGPD), por lo que no concurren las causas de designación obligatoria. Esta valoración debe revisarse periódicamente.

2. Datos que recogemos

Recogemos los siguientes datos: (a) datos de identificación y contacto del comprador (nombre, dirección de correo electrónico); (b) datos de facturación cuando son necesarios para la emisión de factura o son requeridos por la pasarela de pago (Stripe puede solicitar nombre, dirección postal y país); (c) datos de pago: gestionados directamente por Stripe; Stelvia no almacena datos completos de tarjeta; (d) contenido aportado libremente por el comprador: nombre elegido para la estrella y dedicatoria, que pueden contener datos personales del destinatario; (e) datos técnicos: dirección IP, identificadores de sesión, tipo de navegador y dispositivo, recogidos mediante cookies estrictamente necesarias; (f) datos de uso agregados a través de PostHog Cloud EU (servidores en Frankfurt) con finalidad analítica y de mejora del producto, seudonimizados, capturados únicamente si has aceptado la categoría «Análisis» en el banner de cookies; (g) datos técnicos de diagnóstico de errores a través de Sentry (tipo de navegador, ruta, mensaje y traza de la incidencia), sin cookies propias y con configuración «sin PII» para garantizar la continuidad operativa y la seguridad del sitio.

3. Finalidades del tratamiento

Tratamos los datos para: (a) ejecutar el contrato de compraventa, generar el certificado, asignar la estrella y enviar la entrega digital; (b) cumplir las obligaciones contables y fiscales que nos imponen el Código de Comercio y la legislación tributaria; (c) gestionar consultas, reclamaciones y el ejercicio de derechos ARSOPL; (d) prevenir el fraude, detectar errores de funcionamiento y garantizar la seguridad y continuidad operativa del sitio (incluye el diagnóstico técnico de incidencias a través de Sentry); (e) en su caso, y previo consentimiento, enviar comunicaciones comerciales sobre nuestros productos; (f) mediante tu consentimiento granular y revocable desde el banner de cookies, medir el uso agregado del sitio con PostHog Cloud EU para mejorar el embudo de conversión y la experiencia del producto.

4. Bases jurídicas

(a) Ejecución de contrato (art. 6.1.b RGPD): tratamiento de datos del comprador y de la dedicatoria para entregar el producto; (b) Cumplimiento de una obligación legal (art. 6.1.c RGPD): conservación contable y fiscal; (c) Interés legítimo (art. 6.1.f RGPD): seguridad del sitio, prevención del fraude y diagnóstico técnico de errores a través de Sentry (datos seudonimizados, sin cookies propias, configuración «sin PII»), tras superar el test de ponderación; (d) Consentimiento (art. 6.1.a RGPD): cookies analíticas — actualmente, PostHog Cloud EU para métricas de uso agregadas — y comunicaciones comerciales cuando se activen.

5. Plazos de conservación

Los datos del comprador se conservan durante toda la relación contractual y, posteriormente, durante los plazos legales aplicables: 6 años para la documentación contable y mercantil (art. 30 Código de Comercio); 4 años para las obligaciones tributarias (art. 66 Ley General Tributaria); 5 años para el cumplimiento de la normativa de protección de datos. La dedicatoria se conserva mientras exista el certificado y la página única de la estrella; el comprador puede solicitar su supresión en cualquier momento. Las dedicatorias publicadas en el sky map público se mantienen mientras subsista el consentimiento expreso del comprador para su difusión.

6. Destinatarios y encargados del tratamiento

Para prestar el servicio recurrimos a los siguientes encargados, todos ellos ubicados en la Unión Europea o vinculados por garantías adecuadas: Stripe Payments Europe Ltd. (Irlanda, UE) para procesar los pagos; Supabase Inc. con infraestructura en Frankfurt (Alemania, UE) para almacenamiento y base de datos; Resend Inc. con servidores localizados en la región europea (Irlanda) para el envío transaccional de correo; Vercel Inc. con despliegue de cómputo en regiones europeas para el alojamiento del frontend; Inngest Inc. para la ejecución de tareas asíncronas; PostHog Inc. (Cloud EU, Frankfurt) para la medición agregada del uso del sitio cuando hayas aceptado la categoría «Análisis»; y Functional Software, Inc. d/b/a Sentry para el diagnóstico técnico de errores [PENDIENTE: confirmar región de procesamiento — Sentry SaaS por defecto procesa en EE. UU.; si se requiere UE, contratar el plan EU Data Residency]. Los encargados acceden a los datos únicamente para prestar su servicio bajo nuestras instrucciones documentadas y mediante contrato conforme al art. 28 RGPD.

7. Transferencias internacionales

Hemos seleccionado proveedores con infraestructura europea para evitar transferencias internacionales innecesarias. No obstante, algunos de ellos son entidades estadounidenses (Resend Inc., Vercel Inc., Inngest Inc., Stripe Inc. en su grupo). Cuando una transferencia a Estados Unidos resulte inevitable para tareas de soporte técnico o continuidad operativa de la matriz, dicha transferencia se ampara en las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (Decisión 2021/914) conforme al artículo 46.2.c RGPD, o en la adhesión del proveedor al Marco UE-EE. UU. de Privacidad de Datos cuando esté disponible, evaluando además medidas suplementarias acordes con la sentencia Schrems II.

8. Derechos del interesado

Tienes derecho a acceder a tus datos, rectificarlos, suprimirlos, oponerte al tratamiento, limitarlo y solicitar la portabilidad. Puedes ejercer estos derechos enviando un correo a [PENDIENTE: email para ejercicio de derechos, p. ej. privacidad@stelvia.space] indicando el derecho que ejerces y adjuntando copia de un documento que acredite tu identidad. Responderemos en el plazo de un mes, ampliable a dos cuando la complejidad o el volumen de solicitudes lo justifique. También tienes derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (https://www.aepd.es) si consideras que el tratamiento no se ajusta a la normativa.

Avisos de visibilidad de tu estrella (efemérides)

Si te suscribes voluntariamente a las efemérides, te enviamos un único aviso al año por correo electrónico: la noche en que tu estrella alcanza su mejor visibilidad. Finalidad: enviarte ese aviso anual. Datos tratados: tu correo electrónico y una latitud aproximada que calculamos a partir del país y, si lo indicas, la ciudad que eliges manualmente en el formulario; no usamos el GPS ni la geolocalización del navegador, ni instalamos cookies para esta función. Base jurídica: tu consentimiento (art. 6.1.a RGPD), que prestas al suscribirte mediante doble confirmación. Conservación: mientras siga vigente tu consentimiento; si te das de baja, suprimimos estos datos. Derechos: puedes acceder, rectificar, oponerte o suprimir tus datos como en el resto de esta política, y darte de baja en un solo clic desde el enlace incluido en cada aviso.

9. Menores de edad

Stelvia no comercializa productos a menores de 18 años. Al realizar una compra, el usuario declara ser mayor de edad y tener capacidad legal para contratar. Si detectamos que se han recogido datos de un menor sin consentimiento de los titulares de la patria potestad, suprimiremos esa información de inmediato.

10. Seguridad

Aplicamos medidas técnicas y organizativas razonables para proteger los datos: cifrado en tránsito (HTTPS/TLS), cifrado en reposo en la base de datos, control de accesos por roles, registros de actividad y revisión periódica de proveedores. En caso de violación de seguridad que entrañe un riesgo para tus derechos, notificaremos a la Agencia Española de Protección de Datos en un plazo de 72 horas y, cuando sea necesario, te informaremos directamente.

11. Cambios en la política

Podemos modificar esta política para adaptarla a cambios normativos o de servicio. La fecha de última actualización figura al final del documento. Las modificaciones sustanciales se comunicarán por correo electrónico cuando dispongamos de tu dirección.